Vulnerabilidad en Mendix (CVE-2024-33500)

Gravedad CVSS v3.1:

MEDIA

Tipo:

CWE-269 Gestión de privilegios incorrecta

Fecha de publicación:

11/06/2024

Última modificación:

11/06/2024

Descripción

Se ha identificado una vulnerabilidad en Aplicaciones Mendix que usan Mendix 10 (Todas las versiones &lt; V10.11.0), Aplicaciones Mendix que usan Mendix 10 (V10.6) (Todas las versiones &lt; V10.6.9), Aplicaciones Mendix que usan Mendix 9 (Todas las versiones &gt;= V9 .3.0 &lt; V9.24.22). Las aplicaciones afectadas podrían permitir a los usuarios con la capacidad de gestionar una función elevar los derechos de acceso de los usuarios con esa función. La explotación exitosa requiere adivinar la identificación de una función de destino que contiene derechos de acceso elevados.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:H/PR:H/UI:N/S:U/C:H/I:H/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 5.90 MEDIA
Vector: CVSS:3.1/AV:N/AC:H/PR:H/UI:N/S:U/C:H/I:H/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Alto
Privilegios Requeridos (PR): Alto
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Ninguno

Puntuación base 3.x

5.90

Gravedad 3.x

MEDIA

Referencias a soluciones, herramientas e información

https://cert-portal.siemens.com/productcert/html/ssa-540640.html